このページのスレッド一覧(全7438スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 eo光 |
2 | 9 | 2015年3月18日 18:31 |
| Windows7標準L2TP/IPsecでの接続について |
7 | 37 | 2021年2月20日 09:36 |
| VPNについての初歩的な質問 |
25 | 26 | 2015年2月16日 20:19 |
| VPNサーバ機能は搭載? |
0 | 4 | 2015年1月26日 16:32 |
| 2ちゃんねるに書き込めません |
26 | 36 | 2015年1月15日 09:52 |
| 最近、突然ネットの繋がりが遅くなりました |
1 | 9 | 2015年1月9日 21:24 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
回線接続のみで、こちらのルーターを使用するのですか?
PPPOE接続、nat-masquarade設定レベルで迷われてるレベルでしたら、こちらのルーターは未使用の方が良いかと存じます。
もし、設定情報等提供希望でしたら、既存config情報提供お願いします。
重要プロバイダーID及びパスワードは、伏字で構いません。
書込番号:18579525 スマートフォンサイトからの書き込み
0点
追加確認箇所は、デフォルトゲート設定コマンド、dns serverコマンド、nat-masquarade outerコマンド、同じくmasquarade innerコマンド。
書込番号:18579547 スマートフォンサイトからの書き込み
0点
レス、ありがとうございます。
PPPoEで検索していると、TCPのmss clampが関係していると思っています。
コマンドマニュアルを見ると、defaultでdisableになっているようなので、
一度、試してみます。
書込番号:18580602
0点
??EO光の場合、MTU数値は一般的な1,454を利用しております。
RTX1210ルーターの場合、PPPOE接続設定においては、MRUオプション及びMTU数値は、1,454を指定してあれば、MSS数値の設定は必要無いかと存じます。
PPPOE接続されているとの事ですが、EO光指定のDNSサーバアドレスを指定していますでしょうか?
※ dns server pp 1 → dns server 60.56.0.135 218.251.89.134
※ dns server select 500001 pp 1 any . restrict pp 1 → dns server select 500001 60.56.0.135 218.251.89.134 any . restrict pp 1
※ provider dns server pp 1 1 → provider dns server 1 60.56.0.135 218.251.89.134
更に言うと、EO光の固定IPサービスの利用はされていませんか?
固定IPサービスを利用していましたら、nat-masquarade設定を変更しなければ、接続許容されません。
下記例として・・
nat descriptor type 300 masquerade
nat descriptor address outer 300 (EO光・グローバルIP)
nat descriptor address inner 300 auto
書込番号:18583779
0点
レスありがとうございます。
無事接続ができました。
ppp lcp mru on 1400
にするとokでした。1454は繋がらなかったと思いますが、、、気のせいかな?
契約は、固定IPです。nat-masquarade関係はまだ見ていません。
現在、各パソコンに繋がるケーブルをつなぐと、スピードが半分くらいにダウンして、
安定しません。(調査中)
ま、取りあえず繋がったので、ほっとしています。
書込番号:18587302
0点
??「ppp lcp mru on 1400」
通常は、ip pp mtu 1454のみでOKな筈ですが・・。
LANケーブルを接続して安定しないとの事ですが、LANケーブルはストレート・クロスの混在、カテゴリレベルの混在等をしていませんか?
更にハブ等の分岐配線ですが、カスケードを2段以内にしていますでしょうか?
CAT7も含めたSTPケーブルを利用すると、ノイズ滞留劣化等が起きる可能性も有ります。STPケーブルを利用される場合、それぞれの機器側にアース配線する様にして下さい。
出来れば、CAT6(UTP)ケーブル・単線・ストレート仕様をご利用ください。
書込番号:18588344
0点
ルーターから、ハブをカスケードしてどのくらい
安定性が損なわれるか、データをお願いします。
CAT6(UTP)ケーブル・単線・ストレートと、CAT5eで
どのくらいの減衰があるのか、データをお願いします。
(あんまりかかわりたくないんだけど、、、)
書込番号:18591984
0点
具体性の有るデータは、同一環境で無ければ、提示は難しいです。
ギガビット通信機器となると、最大で2段までのカスケード数がメーカー保証となりますが、実際の所、パケット衝突の確率・パケットロスの確率が高くなる点、通信量の問題ではなく、
衝突を検知してから、送信元に知らせるまでの時間の遅延が大きくなる点が有ります。
利用しているケーブルとして、CAT混在でクロス混在の時点で、全体のカテゴリレベルは4程度まで落ちる計算、伝送レートでの負荷も単純に4割程度の性能しか出ない形になります。
CAT5Eケーブルは、100Mbps対応ケーブルを無理矢理心線を変更し、本来ギガビット通信許容周波数である、250Mhz以上の周波数帯域を100Mhz周波数心線で利用可能にしている条件が有ります。
100Mhz周波数ケーブルをギガビット通信のケーブルへ転用された場合に、引き回し接続による遅延、特に上り速度・下り速度の均一化の保証が無い仕様が有ります。
CAT5Eケーブルを利用される場合には、規格上1mの近接距離にてギガビット通信の許容と言う条件が有ります。(伝送周波数性能が低いため)
本来、ギガビット通信は、8極8芯1ペアごとに250Mbps(250Mbps x 4ペア=1000Mbps)で送信と受信を兼ねる仕様が必須となっております。中でも、10m以上の迂回配線やカスケードを重ねる場合にも、より線では、迂回する毎に30〜40%の電気抵抗が発生する事になっております。
カテゴリレベルの相違・クロス混在(伝送周波数が足りない)でも、総体で30〜40%の終端抵抗がかかると想定下さい。
書込番号:18592191
2点
RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って(レジストリ変更済)運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。
ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。
ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが
実際の例では以下のように歯抜け状態になっています。
(IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。)
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]
理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。
1点
確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
通常のDHCP端末と重複する様な設定(ip pp remote address pool auto)ではなく、プール範囲をDHCPと離した範囲に指定してみて下さい。
書込番号:18487606
2点
>確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成(pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード)をしていますか?
実際の接続は5,6台ですが、20台分のトンネル設定とそれぞれにIDとパスワードを作成しています。
もちろん、接続する端末はそれぞれのIDで接続しています。(実は同じIDでも2台まで接続できたのですが、YAMAHAに仕様外だと言われました)
>それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか?
していません。「ip pp remote address pool auto」になっています。
てっきり通常のDHCP端末とは重複しないようにIPを割り当ててくれてると思ってたのですが...
ご指摘ありがとうございます。試してみます。
書込番号:18488475
1点
それは当たり前では?
プロトコルに依存するかもしれませんけど、一般的にVPNはNATを通過しませんよね?
NATでダメなものは言い換えるとグローバルIPを必要としているということだから、2つ開いたらアウトだと思うんだけど。(ちょっとズレてるかもだけど、要はVPNパススルーするルータが対応できると言ってなきゃ少なくても無理)
http://www.infraexpert.com/study/ipsec14.html
http://www.infraexpert.com/study/ipsec15.html
少なくても端末側がRTならアウト
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html
書込番号:18488686
0点
IPSEC-VPNでも、L2TP/IPSEC自体の規格は、一般的なVPNルーター(Yamaha含むNEC、Cisco、アライドテレシス)は、NATトラバーサルの機能は実装しておりますので、NATは通過出来る仕様ですよ。
Yamahaルーターでも、IPSEC-VPNでも接続回線によって、NATトラバーサル設定でのNAT貫通は出来ますので、誤解が有るかと存じます。
NATトラバーサル機能を利用しますと、IKE認証にUDP500番ポートではなく、UDP4500番を利用する形になります。
IKE Phase 1にて、IPsecピアとなる双方の機器がNAT Traversal確認→IPsecピアを構築する経路上にNAPTデバイスが存在可否確認→IKEで使用するポート番号の変更 (送信元・宛先ともに500 → 4500へ変更確認)が派生し、IKE Phase 2にてESPパケットをUDPでカプセル化するモードの決定→NAPTにより変更される前のIPアドレス情報の通知処理、IPsec-VPN確立後にはUDPカプセル化によるトランスポートまたはトンネルモードのESPパケットを送信する仕組みになります。
Yamahaルーターには、L2TPクライアントの複数受付可能な仕様になっていますので、設定レベルの問題かと存じます。その際には、トンネル毎に「ipsec ike nat-traversal」コマンドでのトランスポート転送モードの設定(UDP1701番での待ち受けポート設定も必要)が必要です。
書込番号:18489249
0点
追伸、質問者はWindowsパソコンでのNATトラバーサル通信が許容される様に、レジストリ変更していますので、一般的なIPSEC-VPN(NATトラバーサル機能が無い)ルーターでの説明には該当しないかと存じます。
書込番号:18489268
0点
sorio-2215さんのおっしゃる通り、NATトラバーサルの問題(ルーター越え)はレジストリ変更で対処して、実際に通信できているので問題ありません。接続が安定するまで、落ちたりつながったりとしばらくバタバタする点をなんとかしたいというのが解決したい点です。
L2TP/IPSEC接続時のプールの設定ですが、正しくは以下のように設定されていました。(ちなみにデフォルト設定です。)
(誤)「ip pp remote address pool auto」 → (正)「ip pp remote address pool dhcp」
プール範囲の設定について以下のアドバイスを頂いたのですが
>プール範囲をDHCPと離した範囲に指定してみて下さい。
rtx1210のDHCPの割り当て範囲を例えば以下に設定しているとすると
[192.168.0.100 - 192.168.0.150]
リモートのプール範囲は
[192.168.0.200 - 192.168.0.220]
のようにDHCP範囲外で設定するという認識でよろしいでしょうか。
よろしくお願い致します。
書込番号:18489996
0点
リポートプールしますIP範囲の認識は、解釈の通りでOKです。
当方もRTX1210とUNIVERGE iX2215にて、L2TP/IPSECを利用経験則ですが、L2TP同時クライアント接続にて、問題は出ておりません。
IX2215ですと、トンネル毎に接続します接続ユーザーID及びパスワードを限定させる設定も出来るのですが、RTX1210ですとanonymous接続にそれぞれ接続ユーザーIDとパスワードを登録する位しか出来ないですが、先ずはトラブルは出ておりません。
書込番号:18490095
0点
以下の設定例は参考になりませんか?
「ヤマハルーターのプライベートアドレス:192.168.100.1」ですので、192.168.0.1などに読み替えてください。
この設定例では、DHCPサーバのアドレスプール内のアドレスを設定しているようです。
【設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
【L2TP接続を受け入れるための設定】
ip pp remote address pool 192.168.100.10-192.168.100.20 ==> 「dhcp scope 1 192.168.100.2-192.168.100.191/24」がデフォルト値かと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html?_ga=1.68082705.1850650006.1410221214#setting3
書込番号:18490290
0点
補足ですが、Yamahaルーターの場合ですが、他の方の補足メーカーサイトでの提示、特に注釈文「※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。」
上記の文面内容ですが、接続しますL2TPクライアント仕様によって、即時切断要求・応答する仕様のクライアントと、そうでないクライアントが有ります。
利用用途及び端末によってとなりますが、YamahaルーターOS仕様の場合、L2TPクライアントが切断時に、応答切断に遅延が派生し、再接続時に問題が出る場合も有ります。
その際には、L2TPセッション・タイマーの設定にて、経過時間による切断コマンドを設定しておいた方が良いかもしれません。メーカー指示のL2TPキープアライブでは無くなりますが、「l2tp tunnel disconnect time」コマンドをトンネル毎に秒単位設定をする等の対応が必要になる可能性も有ります。(例えば、l2tp tunnel disconnect time 600)
書込番号:18492258
0点
実はL2TPセッション・タイマーは設定済みで、全チャンネル「l2tp tunnel disconnect time 300」としましたが、動きは変わりませんでした。今はプール範囲を変えたので、様子をみているところです。
書込番号:18493059
0点
プール範囲を変えたのですが、改善されませんでした...残念(/Д`)。もう少し様子をみようと思います。
書込番号:18495218
0点
そうですか。確認ですが、契約回線及びプロバイダはどちらでしょうか?
光電話の有無(光電話ルーター等の機種・型式も併せて)教えて頂けますが?
それと、出先側回線サービス及び接続モバイルルーター機種等も教えて下さい。
書込番号:18495361
0点
先ほど聞き忘れました、ipsec autokey-proposalの暗号化レベルはどのモードをご利用でしょうか?
トンネルモードが「esp-aes esp-sha」でなければ、Windows8や7系では不安定な場合が有ります。
まさか、WindowsXPでは無いですよね? XPであれば、「esp-3des esp-sha」でなければ接続対応されません。
それと、PPPダイアルアクセスのレベルですが、chapでしょうか?それとも、mschap-v2でしょうか?
「pp select anonymous」での認証方式をchapにて、お試し下さい。
書込番号:18495802
0点
sorio-2215さん、いろいろ確認ありがとうございます。
以下確認事項です。
契約回線:NTTフレッツ光
プロバイダー:biglobe
光電話有:ひかり電話オフィスA
ルーター:OG800Xi
出先の回線:NTTフレッツ光
ルーター:上記と同等?
端末はすべてwin7です。
VPNの設定は以下となっています。
・ipsec sa policy 2 2 esp aes-cbc sha-hmac
・pp auth request mschap-v2
認証方式はchapに変更して試してみます。
トンネルモードも「esp-aes esp-sha」に変更するべきですかね...
上記に変更した場合、モバイル(iphone,ipad等)の接続に影響ありますか?
モバイルの接続も常時ではありませんがしています。
よろしくお願い致します。
書込番号:18497280
0点
この現象、経験があります。
次の3つのコマンドはどのようになっていますか?
ipsec ike keepalive use
l2tp tunnel disconnect time
l2tp keepalive use
もし次のようになっていなければ、だめ元で試してみてください。
ipsec ike keepalive use x off
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
書込番号:18497686
0点
光電話オフィスアダプタOG800Xi(BRI収容/8ch)をご利用という事で、同機のファームウェア問題による、PPPOEブリッジ機能の不確定要因が以前経験した事が有ります。
同機のファームウェアが最新か確認下さい。
同機のファームウェア更新には、NTT東/NTT西エリア別にファームウェアが分かれますが、工事専用ログインして、手動適用するのですが、アクセスIPが初期値であれば、PCを光電話オフィスアダプタのLANポート接続→ブラウザにて、「http://192.168.1.1」→ログインID(admin)、パスワード(akisky)にてログイン出来ます。
※ ファームウェア提供元・・NTT東(http://web116.jp/ced/support/version/voip/og400x_og800x/index.html)、NTT西(http://www.ntt-west.co.jp/flets/solution/kiki_info/software/746/)
出先回線装置・ルーターにおいても確認下さい。
トンネルモードも「esp-aes esp-sha」を指定、スマートフォンやタブレット、MVNO端末においては影響無い筈です。(http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#client)
※ 例として「ipsec sa policy 1 1 esp aes-cbc sha-hmac」、「ipsec ike encryption 1 aes-cbc」
L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあり、IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。
IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブの未使用が推奨されます。
Yamahaルーターにおいては、スマートフォンも共存するVPN設定において、キープアライブは推奨されない仕様です。
L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあり、クライアントの設定を随意対応する必要と、IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat 死活監視を採用しており、スマートフォンやタブレット、PC等の混在でのL2TP接続が有る場合には、死活監視の制御が難しくなります。環境により、キープアライブはすべきでは無いかと考えます。
因みにキープアライブ機能については、Yamahaにおいて独自のheartbeat死活監視、業界的にはdpd死活監視が採用されている場合が殆どです。(http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html)
書込番号:18498825
0点
いろいろ情報ありがとうございます。
一つずつ試してみようと思います。
まずは認証方式をchapでやってみます。
書込番号:18510427
0点
認証方式をchapにすると全くつながらなくなりました...(モバイルはつながります)
Winの設定でしょうか?
その他も確認予定です。
書込番号:18512412
0点
WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル(CHAP)にチェック投入下さい。
書込番号:18513241
0点
チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
???
他の対策も試してみようと思います。
書込番号:18513288
0点
この後に17件の返信があります。
会社でデータベース(FileMaker)をPCやiPadで共有しています。
外から見たいという要望があり、RTX1210を検討しています。
VPNについてこれから勉強していく必要があるのですが、
取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
専門知識がないまま担当になってしまい勉強しながらなのですが、
頭に入れておいたほうが良いことなどありましたら、どうぞご教授ください。
0点
VPNパススルーというのに対応していれば、まず問題はないかと。
ヤマハはコミュニティの情報が豊富だから、そっち覗いた方が良いと思いますよ。
書込番号:18438494
1点
ムアディブさん、ありがとうございます。
NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
http://jp.yamaha.com/products/network/routers/rtx1210/?mode=model&tab=PD5123546
書込番号:18438522
0点
これ
http://www.rtpro.yamaha.co.jp/
どうつなぎたいのがさっぱりわからんのですけど、、、
>取り急ぎ、家のPCから繋げたい場合、会社だけでなく家のルータもVPN対応にする必要があるのでしょうか。
これが要望なんですよね?
このとおり聞いて
>NTTに相談したら拠点が増えるごとにコストがかかると言われたのと、ヤマハのサイトでも「3つのオフィス間でつながる」という例で、それぞれにRTX1200が使われていますので、VPNクライアントのルータの役割がよくわからない状態です。
こういう答えが返ってきたんでしょうか?
だとしたら酷いと思いますが、、、(笑
VPNというのはトンネルなので、トンネルをどこで始めてどこで終わるのかということです。
そして、ルータは中に性能の低いCPUが入っててソフトで動いてます。つまり小さいコンピュータ。
ルータには出来ないこと、PCには出来ないことというのは、性能を除けば理論的にはありません。もちろん中のソフトが対応してないとダメとかソフトに癖があるとかはある訳ですが。
で、VPNルータは普通、対応しているWindows用のVPNクライアントソフトがあるはずなので、まずはそれを調べます。
めでたくあれば、家のルータはスルーしてくれるだけでOK、トンネルはあなたのPCと会社のルータの間で開設されます。
ただしこういう接続の仕方では、そのPCだけが会社のLANには参加することになります。もしくは、LANからインターネットにアクセスさせたくないというようなの場合もあるでしょう。事務所間を接続するときですね。その場合は、専用装置でトンネルを終端する方が良いでしょう。(あなたのPCをみんなのためにずっとスイッチオンにしてそこに張り付けておかなきゃいけない。再起動したら怒られる等の羽目になる) その装置がもう一台のルータになります。
ルータは機能を限定し、安定化した小さいパソコンに過ぎないです。
OK?
書込番号:18438575
4点
RTX1210は、当方も運用しておりますが、RTX1210を設置する本所にグローバルIPが1個にて支所側にYamahaルーターや他社VPNルーターでのIPSEC-VPN接続(アグレッシブモード)、自宅回線の方につきましては、VPNルーターを予算上用意するのが難しいのであれば、NTT「フレッツVPNワイド」契約を本所と自宅2拠点分契約する方法が有ります。(自宅と本所間については、VPN契約でのIPIP接続)
フレッツVPNワイド等のIPIP接続の場合には、本所側RTX1210の2セッション目及び自宅側はインターネットセッション以外の2セッション目にフレッツVPNワイドの設定投入となります。
ただしフレッツVPNワイドの契約には、拠点分の月額コストがかかる事を想定下さい。
※ https://flets.com/vpnwide/s_fee.html、http://flets-w.com/vpnwide/ryoukin/、月額1,800円×拠点数、契約拠点は全てNTTフレッツ回線適用が条件となります。
自宅側からVPN接続します用途ですが、常時接続の必要性が無く、オンデマンド接続で宜しければ、本所RTX1210にL2TP/IPSEC設定を実施し、リモートダイヤルアクセス接続と言う方法も有ります。
RTX1210を用意するという事は、支所側に何らかのVPNルーターが有るという認識で宜しいでしょうか?
支所側のアプリケーション運用レスポンスの関連で、一定したVPNスループットが必要な場合には、支所側においてもVPNスループット性能が高いルーターが必須となります。
※ 例えば、本所にRTX1210、支所にNEC「UNIVERGE iX2105」やYamaha「RTX810」等。
支所側のスループットはあまり気にする必要が無い場合には、支所側のVPNルーターは中古・オークション等も含め、Yamaha「RTX1100」、「SRT100」、「RT107E」にて対応可能です。
予算に応じた構成を検討下さい。
書込番号:18440730
1点
「外から見たい」という要望が、自宅や別拠点など固定点からということなのか、外出先からということなのかにもよりますが、
外出先からも考慮すると、L2TP/IPsecでVPN張るのが手軽かと思います。
参考までに
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/
書込番号:18440780
1点
しょうがないから調べてみた。
インターネット全般から端末でアクセスする場合のクライアント。
http://jp.yamaha.com/products/network/network_options/vpn_client_software/yms-vpn8-cp/?mode=model
windowsに付属のL2TP/IPSecはサポートしないとあるので、このライセンスが必要ですね。
IPSecは相変わらずコンパチビリティないのね、、、orz
スマートフォンはだいたいサポートするみたいだから問題なし。
書込番号:18441019
1点
確かにL2TP/IPSEC接続は、Windows端末から見てノンサポート扱いですが、ほとんどのケースで問題となるケースとして、リモートダイヤルアクセス側回線が、ルーター(NAT配下)に有る場合が想定されます。
上記の問題の場合には、レジストリ変更にて対応は可能です。
1,「スタート」画面で右クリック→「すべてのアプリ」をクリック→「ファイル名を指定して実行」→「regedit」と入力して「OK」をクリックする。
2,次のレジストリ サブキーを右クリックします。
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent」
「新規」→「DWORD値」をクリックします。
3,「新しい値#1」ができますので、右クリック、「名前の変更」をクリックする。
「AssumeUDPEncapsulationContextOnSendRule 」
と入力します。
4「AssumeUDPEncapsulationContextOnSendRule 」を右クリックし、「修正」をクリックします。
5「AssumeUDPEncapsulationContextOnSendRule 」をクリックします。「値のデータ」に「2」といれます。ここで必ずパソコンを再起動させて下さい。
上記の調整にて、Windowsパソコンの標準仮想プライベート・ネットワーク接続機能にて、問題は無いかと存じます。
問題の有るケースとしてですが、過去の事例ですとWindowsXP端末仕様で、OSの機能としてVPNの暗号化機能がAESに対応しておらず、VPNルーターのL2TPトンネル設定を3DESモード構成にしなければ接続許容されない問題、Windows7/8.1ベースであれば問題は無いかと存じます。
書込番号:18441376
1点
追加補足です。
本所にRTX1210を想定し、支所にYamaha以外のVPNルーターを利用する場合、VPN接続・死活監視機能として独自のheatbeat監視でのVPN接続維持機能をYamaha側で保有する機能になっておりますので、全拠点Yamahaで統一する場合には、考慮しなくても良いですが、異種メーカー間接続を予算とレスポンスから考慮される場合、VPN接続・死活監視としてdpd死活監視・双方にグローバル固定IPアドレスが必要になるケースも有ります。
NEC系や富士通、Cisco、アライドテレシス系のルーターはdpd死活監視が標準になっております点、双方のルーターのIPSECプログラムの相違が若干有る為、双方にグローバル固定IPが無ければ、不安定なケースも有ります。(IPSEC-VPNでのメインモード接続)
書込番号:18441489
1点
目標構成が微妙に見えていないので、質問させてください。
環境、要望スペックによって、内容にかなりの違いが出てきますので、下の内容はどんな感じでお考えですか?
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
如何でしょう?
書込番号:18444351
1点
皆様のアドバイスをじっくり拝見させていただいています。
皆さんのおっしゃることは私にはなかなか難解です。。m(__)m
麦タロウ様、ありがとうございます。
1.話の内容を拝見すると、外から見たいと言っておられる方は、費用が掛けずにできるだろう的な感じで要望されているようにも見受けられますが如何ですか?
できることなら、コストは掛けずに実現できればと思っています。
特にランニングコストは抑えたいです。
特にわからなかったのが、VPNルータはサーバのある本社に1台だけでよいのか、拠点分必要なのかという点でした。
これだけたくさんアドバイスをいただきながら、未だよくわかっていません。
2.会社でお使いの回線は、固定IPですか?動的IPですか?
→動的IPでもDDNSサービスを利用すれば大した違いはありませんが..
YAMAHAにDDNSサービスがあると聞いているので、それを利用したいと考えています。
3.社内で共有しているデータサイズは大きいですか?
→社内で閲覧していて、サクサク閲覧できていますか?それとももたついていたりしますか?
検索結果にも左右されますが、概ねストレス無く運用しています。
4.個人宅を除き、会社に複数拠点(事務所)がありますか?また、その拠点間接続もお考えですか?
まずは、iPadセルラーモデル2台の接続を考えています。
将来的(数年後)には個人宅を含めた関連拠点20箇所程度からの接続を一応視野にはいれています。
接続は常時ではなく必要な時だけで、拠点間接続は必要ありません。
5.セキュリティは何処まで確保されることをお考えですか?
→鉄壁なのか、漏えいレベルなのか、などなど。
部外者に漏れて困るものも特になく、ウイルスソフトも入れていません。
6.現在、設定経験のある機器は何がありますか?
→家庭用でも、企業向けでも。バッファローやIOデータ、コレガやシスコなど。
個人向けWi-Fiルータ(BUFFALO等)レベルでしょうか。
GUIがしっかりしているものは調べながらでもできる気がするのですが、
コマンドは全くわからず、また、それを勉強する時間をとりたくありません。
書込番号:18444889
0点
VPNルータにこだわらなくても、SoftEther という選択肢もあるかと思いますが?
書込番号:18444929
1点
「VPNルーターは拠点分必要なのか?」という事ですが、この質問が出る時点で、RTX1210ルーターの重要性が薄れる気がしますが、あくまでもRTX1210は自身でVPNを構成出来る機能(VPNサーバ機能)が有るルーターですが、VPNクライアントに相当します支所用のルーターは同等接続機能が無ければ、RTX1210を選択する意味が有りません。
初心者という事で、RTX1210ルーターでのIPSEC-VPN構成をされる場合におきまして、対向側にIPSEC暗号通信を復号化出来るルーターが必要で有る点を考慮下さい。NTTやKDDIのVPNサービスを利用される場合には、VPNルーターのVPNサーバ機能を利用せず、回線側のVPNサーバを月額負担金にて利用し、その専用VPNサーバへ接続する方式(IPIP接続)になると、ルーターとしてはVPNパススルー迄の機能で良いという事になります。
NTTやKDDIのVPNサービスの利用する形ですと、本機ではなく下位機種「RTX810」や「UNIVERGE iX2105」での構成でも良い形になります。
20拠点程のオンデマンド接続を考慮される場合ですが、NTTやKDDIのVPNサービスの利用ではなく、ルーターのVPNサーバ機能、特にVPNスループットを20拠点分の帯域計算する必要が有りますが、目安として、VPNルーターのVPNスループット性能が目安になるかと存じます。
特にオンデマンドでのリモートアクセスVPNですと、L2TP/IPSEC接続が主体となるかと存じますが、RTX1210につきましては、VPNスループットが最大1.5Gbpsまで対応する形になっておりますが、下位機種ですと最大200Mbpsの性能しか無いので、コマンド設定に慣れている方でしたら、他社VPNルーターの方が、ローコストにVPN性能の良いルーターが対応出来るかと存じます。
※ NEC「UNIVERGE iX2207」・・VPNスループット最大800Mbps、「UNIVERGE iX2105」・・VPNスループット最大440Mbps
ルーターの選択肢として、接続端末数も考慮する必要が有ります。ルーターの接続台数目安として、最大NATテーブル数から計算して、メーカー推奨値・端末1台あたり200テーブルと計算すると、Yamaha「RTX1210」は、65,534÷200=327台、「RTX810」は、10,000÷200=50台、「FWX120」は、最大30,000÷200=150台が目安になります。
VPN接続でも、インターネット回線接続性能と接続端末数、アプリケーション・サーバの通信負荷も考慮し、ネットワーク装置の選択が有る程度限定出来るかと存じます。
それと、VPNルーターにてVPN接続を考慮される場合、DDNSサービスでも代用は可能かと存じますが、DDNSサービスが全く障害などのトラブルが無い訳でも有りませんので、出来ましたら、プロバイダ等の固定IPサービスを検討された方が無難かと考えます。
ASAHIネットですと、プロバイダ料とは別に月額800円にて、固定IPサービスの契約は可能です。
既存契約プロバイダの月額費用も併せ比較検討されると良いかと存じます。
※ http://asahi-net.jp/service/option/fixedip/
書込番号:18445795
2点
コンソール設定の基本要素が解らず、Webコンソールのみにおいても限界が有るのでは?
固定インターネット回線サービスによって制約が有りますが、キャリアの方のVPNサービスを利用する方法が無難かと考えますが・・。
※ 「http://www.otsuka-shokai.co.jp/products/o-cnet/」、「http://business.biglobe.ne.jp/ssl_ras/」、「http://business.biglobe.ne.jp/ipsec/」
書込番号:18448849
1点
まずは、外部から繋いで使い勝手を見てみたい。
というレベルとお見受けしたので、現段階で、RTX1210の必要性はないように思います。
社内のPC台数が、10台程度であれば、
WXR-1900DHP
http://buffalo.jp/product/wireless-lan/ap/wxr-1900dhp/
で、様子を探るというのも手かもれません。マニュアルにもiPadの接続方法も書かれているので、面倒はないかも?
※外部からのVPN同時接続は、3なので、本格的に運用する際には入れ替えが必要ですが...。
CPUは、ギガHzを積んでいるので、そこそこのパフォーマンスは出ると思いますが、現在社内でお使いのルーターは何ですか?
書込番号:18448975
1点
こんにちは。
大きく分けて、VPNには下記2種類があります。
・リモートアクセスVPN(端末とLANをオンデマンド接続する)
⇒ サーバー側はVPNルーター必要
クライアント側はVPNルーター不要(通常のルーターでOK)
・LAN間接続VPN(LANとLANを常時接続する)
⇒ サーバー側もクライアント側もVPNルーター必要
スレを読む限り、現状スレ主さんが必要とされているのはリモートアクセスVPNだと思います。
また、リモートアクセスVPN接続に用いるプロトコルも主に3種類あります(SSL-VPNはちょっと違うので除外)。
・PPTP
・L2TP(実際にはIPSecも併用)
・IPSec
PPTP-VPNは数年前にクラックされ、脆弱性が指摘されていますが、
Buffaloの3000-4000円程度のルーターでもPPTPサーバー機能に対応していたりします。
設定もGUI画面だけでできます(GUIでしかできません)。
もちろん、安定性や実効速度などは業務用製品とは比べるまでもありませんが…
なので、通信に用いる情報の重要度や通信量により割り切れる場合に限られると思います。
また、クライアント/サーバー間の全てのルーターでPPTPパススルーが必須になるので、
物理的にVPN接続不可となるケースもかなり存在します。
(公衆無線LANやキャリアNATのネットワークを経由した場合など)
L2TP-VPNは結構汎用的でありながら、認証や暗号化にIPSecの技術を用いるので、
PPTPよりも強固なセキュリティを確保できます。
麦タロウさんご紹介のWXR-1900DHP(Buffalo)は、L2TPサーバー機能に対応しています。
民生品としてはかなり高価なルーターですが、現状民生品でL2TPサーバー対応しているのはこれくらいです。
設定もGUI画面だけでできます(GUIでしかできません)。
安定性や実効速度などは未知数な部分が多いですが…
なお、IPSecを使用するので、クライアント/サーバー間の全てのルーターでIPSecパススルーが必要になるのですが、
PPTPと異なり、NATトラバーサル(NAT-T)という技術を用いてこの問題を回避可能です。
つまり、クライアント/サーバー双方がNAT-T対応であれば、その間のIPSecパススルーは必要ありません。
最近の機種なら、大概はNAT-Tには対応していると思います。
(YAMAHAのRTX810は発売当初NAT-Tに対応していなくて大問題になってましたが…)
単体のIPSec-VPNは、サーバーと同一メーカーの専用クライアントソフトが必要になる場合が多いです。
LAN間接続ではよく使いますが、リモートアクセスではあまり使わないと考えていいかもしれません。
なので、予算とスキル次第と言ってしまえばそれまでなのですが、
少なくとも業務用で使うのですから、L2TPのリモートアクセスを用いるのが現実的だと思います。
行間を読んでその辺をいろいろ考え、且つスレ主さんが書かれている要望も考慮した結果、
麦タロウさんはBuffaloのWXR-1900DHPを紹介してくれているのでしょうし、
私もその辺りが妥当なところだと思います。
あとは同じくL2TPサーバーに対応したBuffaloのVR-S1000とかでしょうか。
業務用ですけど、BuffaloということもありGUIがそれなりに充実しているので、初級者でも比較的簡単に設定可能です。
書込番号:18455810
1点
すでに視聴されているかもしれませんが、一応貼っておきます。
FileMakerをVPNまたはSSLネットワーク経由で使用することに焦点を当てた講演です。
(1時間もしゃべっている割には、VPNについては細かい説明はないんですが…)
(半分以上はSSLに関するもので、本件には直接関係ない部分です。)
iPad & iPhoneからのリモートアクセスをより安全にするネットワーク構築術
https://www.youtube.com/watch?v=SUcSjX4bVPs
書込番号:18455864
1点
先刻の詳細ですが、大塚商会様VPNサービスですと、「VPN接続型リモートアクセスサービス O-CNET AIR STREAM」がipadやiphoneなどの接続に際し、専用ネットワークの場合でのキャリア越え通信も可能、初回現場調査費及びルーターの工事費(75000円〜 + 80,000円)がかかりますが、月額負担金として、O-CNET AIR STREAM月額利用料・1アカウント1,500円+O-CNET SMILE VPN月額保守費・1拠点 〜 14,100円〜にて提供しています。
※ http://www.otsuka-shokai.co.jp/products/o-cnet-multi-access/airstream.html
対地拠点数に併せて、本所と支所の常時固定接続対応も、「O-CNET SMILE VPN(クローズド網)」サービスにて対応出来ますが、先ずは要望します全体のネットワーク構成により、相談されると良いかと考えます。
書込番号:18456142
1点
使用しているのはRTX810ですが、会社とL2TP/IPsecで接続して、会社のファイルサーバーやIPアドレス制限のかかったサーバーのメンテナンスに使用しております。
クライアントソフトもWindows8.1/7やMacのOS付属のもので問題なく使えています。
ちなみに自宅と会社の環境です。
【会社】
・フレッツ光 マンションタイプ(固定IP)
・光ルーター(ブリッジ)とRTX810を接続
【自宅】
・フレッツ光 マンションタイプ
・光ルーター(ブリッジ)とAterm WG1800HP2を接続
社員10名以下の会社ですが、RTX810ではVPNの対地数が6とぎりぎりなので、その点だけでもRTX1210を選ぶ価値はあるかと存じます。
書込番号:18464832
1点
利用ルーターがRTX810という事で、VPN対地拠点数が最大6対地ですが、複数拠点接続は、本所・支所含めて、IPSEC及びL2TP接続も含めて6トンネルギリギリだという認識で宜しいでしょうか?
また、「VR-S1000」ルーターですと、VPNスループットが最大100Mbpsとなり、本所ルーターに選択するに、動作及び通信安定性上、一定のリスクが有ると、「RTX1210」の選択しているのですね?
私の立場でしたら、NEC「UNIVERGE iX2105」でもOKかと存じますが・・。
通販で、6万前後(新品)で入手可能かと・・。
予算が有ればRTX1210でも構いませんが、出来るだけ予算をかけたくない(通信性能と安定性も犠牲にしたくない)、コンソール設定に慣れているという事、中古・オークション等でも安価な入手可能かと。
書込番号:18464933
1点
この後に6件の返信があります。
有線ルーター > MICRO RESEARCH > NetGenesis GigaLink2000 MR-GL2000
対応セキュリティにUPnP/VPNと書いてりますが、
このVPNはこいつ自身がVPNサーバ機能搭載って意味じゃないですよね?
メーカーサイトを参照したところ以下のように書いてあったので。
+++++++++++++++++++++++++++++
IPSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
書込番号:18400127 スマートフォンサイトからの書き込み
0点
そういうことです。
安くIPSec VPNやろうと思ったら、ECS LIVAみたいな軽量x86マシンにIIJのソフトルータ入れるか、Linuxをチューンするしかないと思う。
Linuxの場合はBotのターゲットになる可能性が高いので要注意。開いてるポートの脆弱性情報には警戒しておく必要があります。
もうちょっと手軽にVPN出来れば個人クラウドが流行ると思うんですけどね。
書込番号:18400209
0点
>PSecパススルー(1セッション)、PPTP変換(複数セッション)に対応していますので、ルーターを介したVPNネットワークを構築することが可能です。
※VPN接続機能(ルーター自身がVPN接続を行う機能)には対応していません。
PPPoEのパススルーと同じで、
VPNサーバーをLANに配置しておけば、本機はVPNの通信の邪魔はせずに、
そのまま通せますと云う意味だと思います。
書込番号:18400539
0点
サーバ側は穴開けないとダメかも。
PPPoEは内部発信だからいいんだけども。
書込番号:18401762
0点
このルーターを購入するのであれば、あれこれとVPNサーバやルーターとの連携など考えないといけないので、Yamaha「RTX810」、NEC「UNIVERGE iX2105」、アライドテレシス「AR560S」等を購入された方が賢明かと考えます。
中古・オークション、新品などを踏まえて検討すれば、金額は前後するかと存じます。
書込番号:18408981
0点
約1年ぶりくらいに2ちゃんねるに書き込もうとしたら以下のメッセージが出て書き込めませんでした。
「Request Time-out」
その間、まったく設定は変えていませんし、PC,ルーターとも再起動しても同じです。
またパソコン(OS=win7)、スマホのWifi接続からでも同じ状態です。
お恥ずかしい悩みで申し訳ないのですが、現在大変困っております。
どうか、アドバイスよろしくお願いします。
0点
ROM専では困るのでしょうか?
書込番号:18344819 スマートフォンサイトからの書き込み
1点
Skypeを使ってたら終了させると書けるかもしれない。
色々対策的には
2chに Request timed out/Internal Server Errorで書けない件
てスレッドが立ってるので読んでみるといいかも
書込番号:18344855
3点
神の啓示と考えて、これを機会に "2ch" などとは縁を切ってはいかが?
書込番号:18344886
4点
みなさんありがとうございます。
どうしてもペット関連について黙っていられない項目があったので、久々に書こうとしたら例のメッセージが出てきました。
電気しつじさん
今Skypeをアンインストールしたのですが、状況は変わりませんでした。
またそこのサイトも最初に目を通したのですが、そこにある用語がNVR500のどの設定なのか当てはめ方が判らず、ちんぷんかんぷんでした。
すいませんが、コレに懲りず、引き続きアドバイス宜しくお願いします。
書込番号:18345349
0点
自分で探してみて下記あたりが該当しそうなのですが。
http://blog.livedoor.jp/enact/archives/33870958.html
NVR500の場合、どこをどのように設定変更すればよろしいのでしょうか?
...何卒宜しくお願いします。
書込番号:18345387
0点
2ちゃんねる側のセキュリティの一環で、TCPポート443/995/1723番を閉じてあげれば良いのですが、Yamahaルーターですとコマンド登録になりますね。
Yamaha-Webメニュー→詳細設定と情報から、コマンド実行にて、「show config」コマンドにて出力された設定情報を知らせて頂けると具体的な案内は可能かと存じます。
※ プロバイダ情報等、個人情報は伏せて構いません。
「no nat descriptor masquerade static 200 1 (ルーターIP) tcp 1723」、「no nat descriptor masquerade static 200 2 (ルーターIP) gre」にて、PPTPパススルーは解除される筈です。
IPフィルターの記述での対応として、「ip filter 200001 reject * (ルーターIP) tcp * 443」、「
ip filter 200002 reject * (ルーターIP) tcp * 995」が参考になるかと。
上記IPフィルターのreject規制を、WANインターフェイスのin側へ設定する形になります。
書込番号:18349019
1点
補足です。
「show config」コマンド出力させると、接続プロバイダ情報も出力されてしまいますので、その部分を伏字にして下さいとの事です。→※ プロバイダ情報等、個人情報は伏せて構いません。
書込番号:18349026
1点
sorio-2215様、平様
お付き合いいただきありがとうございます。うれしいです。
sorio-2215様
[トップ] > [詳細設定と情報] > [コマンドの実行] > "show config"←このような感じの入力でしょうか?
もしそれでよろしければ以下の通りでした。
> 設定に変更はありません。
>[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev・・・略・・・・
# MAC Address : 00・・・略・・・
# Memory 64Mbytes・・・略・・・
↓
↓
↓
以後100行くらいにわかる英語コマンド(?)が表示されましたが、お恥ずかしながらどの部分が個人情報なのかわからず、こちらへのコピペを躊躇しております。もしよろしければ引き続き宜しくお願いします。
さらに自力で探して下記のサイトを見つけました。
http://plaza.rakuten.co.jp/ake777/diary/201401050000/
直接「YAMAHA NVR500」設定の仕方が書いてあるようなのですが、どこをどのように設定変更したら良いかちんぷんかんぷんでした。
上記の設定変更の仕方だけでもよろしいので、ぜひ懲りずにアドバイスをお願いします。
つまらない素人の質問にお付き合いいただき本当に申し訳ありませんが、重ね重ね宜しくお願い致します。
書込番号:18351755
0点
個人情報としては、恐らく「pp select 1」から「pp enable 1」の間にプロバイダ接続情報の記述が有るかと存じます。契約回線・プロバイダはどちらでしょうか?
NTT光等でしたら、上記に記載が有るかと存じます。
例・・pp select 1
pp name PRV/1/1/1/0/0/0:BIGLOBE
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname abcdeef@biglobe.ne.jp abcdefg ← ここの部分です。
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1000
pp enable 1
provider set 1 BIGLOBE
provider dns server pp 1 1
provider select 1
show configにて出力されました情報についてですが、
出来ましたら、テキスト出力されました情報の全て分割記載でも構いませんので、掲載願います。
書込番号:18352220
1点
Config情報のテキスト・転記の件ですが、理解出来ましたか?
最低限必要な情報としては、「ip lan1 address」から始まる情報と、「ip filter」から始まる情報全て、「nat descriptor」から始まる情報が無ければ、適切な情報提供難しいです。
先刻の「pp select 1」〜「pp enable 1」までの情報の中で、プロバイダ情報が記載有れば(pp auth mynameから始まる)、それは伏字で良いという事です。
書込番号:18354235
1点
sorio-2215様
私でもわかりやすい説明でのご回答、誠にありがとうございます。
また返信が遅くなりましたことお詫び申し上げます。
早速ためしたところ以下の通りです。
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 10 11:39:59 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname 略
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 略.aa0.netvolante.jp
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username 略
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200080 pass * 192.168.24.1 tcp * 1723
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723
nat descriptor masquerade static 1000 2 192.168.24.1 gre
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
お時間のあります時にご回答いただければ幸いです。何卒よろしくお願いします。
※用事で返信は早くても明日以降となりますのでご容赦下さい。
書込番号:18354636
0点
Config情報確認しました。
Config情報から、確認したい点が有ります。
PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛てにしているのでしょうか?
しているのであれば、以下記述の「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」は実行しないで下さい。
先ずNATエントリーのPPTP透過コマンドを削除確認して下さい。(PPTP-VPNしていない場合)
「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」、「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」コマンドを、詳細設定と情報→コマンド実行にて入力実行して下さい。
次に、ip filterコマンドの「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200081 pass * 192.168.24.1 gre * *」をコマンド実行して下さい。
以下コマンド実行して下さい。
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
最後に、以下コマンド実行して下さい。
「pp select 1」→「ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081」→「pp select none」→「save」→「restart」
一端ルーターが投入コマンドに対し、メモリセーブ・再起動しますので、再起動後に2ちゃんねるの書き込み可能か確認下さい。
書込番号:18355438
1点
追伸 2ちゃんねる側のセキュリティ構成により、PPTPサーバが利用不能になるケースも有りますので、出来ればルーターのPPTPサーバ機能ではなく、L2TP構成に変更可能でしたら、そちらの方が賢明かと存じます。
ルーターの機種変更が必要ですが・・。
※ Yamaha「RTX810」、Buffalo「VR-S1000」など。
書込番号:18358285
1点
sorio-2215様
ありがとうございます。また返信が遅くなりましたことお詫び申し上げます。
このルーターでも、以前では問題なく書き込み出来ておりました。
現在の環境としてOCNのADSLで、このルーターを介して私はWIN7を使用、その他は2台(2000,XP)家族が使用しております。
ただし私を含めた家族全てが初期設定が出来なかったので、ルーター設置等は全て専門業者にお願いしました。
>PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛・・・
まずお恥ずかしながら、上記の意味が不明です。
確認するには「詳細設定と情報」からクリックしてから進むのでしょうか?
>no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」
こちらも、実行の“する”する“しない”とはどこで設定するのでしょうか?
またPPTP-VPNしていない場合、またしている場合も、どこをクリックして確認すればよろしいのでしょうか?
もしご回答いただけましたら、明日以降再度ご報告いたします。
本当に無知であきれていると思いますが・・・何卒ご指導よろしくお願いします。
書込番号:18358533
0点
「PPTP-VPNネットワークを外部から、NetvloanteDNSドメイン宛・・・まずお恥ずかしながら、上記の意味が不明です。確認するには「詳細設定と情報」からクリックしてから進むのでしょうか?」
上記の件ですが、出先からモバイル端末(スマートフォン含む)アクセスで、自宅パソコン等にアクセスしているかどうかは、ルーターのConfig内容として設定されております。
それがPPTP-VPN設定という事なのですが、不要と言う判断で宜しいでしょうか?
下記ConfigがPPTP-VPN設定内容でした。
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username 略
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
「no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723」と「no nat descriptor masquerade static 1000 2 192.168.24.1 gre」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」、「no ip filter 200080 pass * 192.168.24.1 tcp * 1723」
上記の設定投入は、詳細設定と情報→コマンド実行にて、白枠内にそれぞれ1行づつ転記して貰えば良いです。
例 no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723 →enter
no nat descriptor masquerade static 1000 2 192.168.24.1 gre →enter
no ip filter 200080 pass * 192.168.24.1 tcp * 1723 →enter
no ip filter 200080 pass * 192.168.24.1 tcp * 1723 →enter
enterは、キーボードで改行するという意味です。(→enter までコマンドに転記はしないで下さい)
最後にコマンド実行の下部の設定の確定ボタンをクリックするだけです。
同様に、
詳細設定と情報→コマンド実行から、下記コマンドを転記、最後に下部の設定の確定ボタンをクリックして下さい。
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
次に、詳細設定と情報→コマンド実行にて、1行づつ転記して下さい。
pp select 1 →enter
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081 →enter
pp select none →enter
save →enter
restart →enter
書込番号:18360250
1点
sorio-2215様
ご丁寧に本当にありがとうございます。
>出先からモバイル端末(スマートフォン含む)アクセス・・
(意味が違うかもしれませんが)スマホにて屋内(圏内)でwifiアクセルするかもしれませんが、外出先からアクセルすることはありません。
またご指示頂いたとおり入力した結果は以下の通りでした。
コマンド "no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723" を入力しました。
コマンド "no nat descriptor masquerade static 1000 2 192.168.24.1 gre" を入力しました。
コマンド "no ip filter 200080 pass * 192.168.24.1 tcp * 1723" を入力しました。
コマンド "no ip filter 200080 pass * 192.168.24.1 tcp * 1723" を入力しました。
[ コマンド入力結果(最新の実行ログ) ]
# no nat descriptor masquerade static 1000 1 192.168.24.1 tcp 1723
# no nat descriptor masquerade static 1000 2 192.168.24.1 gre
# no ip filter 200080 pass * 192.168.24.1 tcp * 1723
# no ip filter 200080 pass * 192.168.24.1 tcp * 1723
#
.
CORNER
↓
次
↓
コマンド "ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https" を入力しました。
コマンド "ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995" を入力しました。
コマンド "ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723" を入力しました。
コマンド "ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *" を入力しました。
コマンド "ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https" を入力しました。
コマンド "ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995" を入力しました。
コマンド "ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723" を入力しました。
コマンド "ip filter 200046 reject-nolog 207.29.224.0/19 * gre * * " を入力しました。
[ コマンド入力結果(最新の実行ログ) ]
# ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
# ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
# ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
# ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
# ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
# ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
# ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
# ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
#
↓
次
↓
コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081" は入力できません。
エラー: パラメータは整数で指定してください。
コマンド "pp select none" を入力しました。
コマンド "save" を入力しました。
再起動します。
本製品のLED点滅終了後、アクセスを再開してください。 設定に変更はありません。
以上です。
お忙しいところ恐れ入りますが、引き続きよろしくお願いします。
※所用により返信は明日になりますのでご容赦下さい。
書込番号:18362020
0点
了解です。うまい事コマンド実行出来た様ですね。(コマンド実行=ルーターの設定という事です)
ルーターの再起動完了後に、念のため再度、詳細設定と情報→コマンド実行から、「show config」にて、設定内容テキスト出力→提示出来ますでしょうか?
テキスト提示後に、再度不要PPTP-VPNのトンネル・コマンドの削除を行います。
no pp select anonymous →enter
no tunnel select 1 →enter
下部の設定の確定ボタンをクリック
上記コマンドを実行願います。
最後に、save →enter
restart →enter
下部の設定の確定ボタンをクリック
書込番号:18364705
1点
エラーコード、コマンド "pp select 1" を入力しました。
コマンド "ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081" は入力できません。
上記ですが、
pp select 1 →enter
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200032 200038 200039 200040 200041 200042 200043 200044 200045 200046 200080 200081
上記 ip pp secure filter in の後ろ数字ですが、200038から改行されてしまってますので、連文節でお願いします。
200003から2000081まで連文節です。数字打った後、半角スペースで続けて下さい。
書込番号:18364738
1点
sorio-2215様
ご丁寧に本当にありがとうございます。
ルーターを再起動し、再度“show config”を入力したら下記の通り表示されました。
↓
↓
↓
コマンド "show config" を入力しました。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# show config
# NVR500 Rev.11.00.07 (Wed Dec 22 10:48:02 2010)
# MAC Address : 00:a0:de:7e:61:22, 00:a0:de:7e:61:23
# Memory 64Mbytes, 2LAN, 1BRI
# main: NVR500 ver=00 serial=S35039604 MAC-Address=00:a0:de:7e:61:22 MAC-Addre
ss=00:a0:de:7e:61:23
# Reporting Date: Jan 13 08:55:08 2015
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.24.1/24
ip lan1 proxyarp on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:ocn
pp select 1
pp name PRV/1/1/5/0/0:ocn
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname ・・・略・・・
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024
200025 200030 200032 200080 200081
ip pp secure filter out 200004 200005 200013 200020 200021 200022 200023 20002
4 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098
200099
ip pp nat descriptor 1000
netvolante-dns hostname host pp server=1 ・・・略・・・
pp enable 1
provider set 1 ocn
provider dns server pp 1 1
provider select 1
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
pp auth request mschap-v2
pp auth username ・・・略・・・
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
ip pp remote address pool 192.168.24.3
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.24.0/24 * * * *
ip filter 200004 reject 192.168.24.15 * * * *
ip filter 200005 reject 192.168.24.13 * * * *
ip filter 200006 reject 192.168.24.20 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.24.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.24.0/24 icmp * *
ip filter 200031 pass * 192.168.24.0/24 established * *
ip filter 200032 pass * 192.168.24.0/24 tcp * ident
ip filter 200033 pass * 192.168.24.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.24.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.24.0/24 udp domain *
ip filter 200036 pass * 192.168.24.0/24 udp * ntp
ip filter 200037 pass * 192.168.24.0/24 udp ntp *
ip filter 200038 reject-nolog 206.223.144.0/20 * tcp * https
ip filter 200039 reject-nolog 206.223.144.0/20 * tcp * 995
ip filter 200040 reject-nolog 206.223.144.0/20 * tcp * 1723
ip filter 200041 reject-nolog 206.223.144.0/20 * gre * *
ip filter 200042 reject-nolog 207.29.224.0/19 * tcp * https
ip filter 200043 reject-nolog 207.29.224.0/19 * tcp * 995
ip filter 200045 reject-nolog 207.29.224.0/19 * tcp * 1723
ip filter 200046 reject-nolog 207.29.224.0/19 * gre * *
ip filter 200081 pass * 192.168.24.1 gre * *
ip filter 200098 reject-nolog * * established
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.31-192.168.24.40/24
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
dns private name setup.netvolante.jp
pptp service on
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
#
↓
↓
↓
このあとに以下を実行するのでしょうか?(念のためまだ実行しておりません)。
>no pp select anonymous →enter
>no tunnel select 1 →enter
>下部の設定の確定ボタンをクリック
>上記コマンドを実行願います。
>最後に、save →enter
>restart →enter
書込番号:18365509
0点
この後に16件の返信があります。
会社で30〜40台のPCをこちらのRT58iルーターを使用してネットに接続しています。
去年の年末頃からネットに繋がりにくい状況が続いています。
やった事は、ファームウェアの更新(Rev.9.01.51)くらいです。
ログを見ると下記のようなものが短時間に大量に残ってます。
2015/01/07 08:46:31: PP[03] IP Commencing (DNS Query [lb._dns-sd._udp.0.0.168.192.in-addr.arpa] from 192.168.0.26)
2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
何か攻撃?でも受けているのでしょうか?それともどこかのPCがウイルスに感染していたりするのでしょうか?
必要あればルーターの買い替えも考えております。
どなたかわかられる方いらっしゃいましたら、ご教授ください。
0点
>2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
"BRI connector trouble"なので、
ISDN回線のコネクタ周りでの障害を検知したのではないでしょうか。
まずはケーブルを交換してみてはどうですか。
書込番号:18344695
0点
こんにちは
>会社で30〜40台のPCをこちらのRT58iルーターを使用してネットに接続しています。
去年の年末頃からネットに繋がりにくい状況が続いています。
2015/01/07 08:46:31: PP[03] IP Commencing (DNS Query [lb._dns-sd._udp.0.0.168.192.in-addr.arpa] from 192.168.0.26)
2015/01/07 08:46:31: PP[03] Detect BRI connector trouble(bri1). Call request is rejected
ISDNルータですね。いまどきこれでネット接続(30から40台)使えているのでしょうか。現在のWEB画面はブロードバンド向けに作られていますので、1台であってもかなり遅いのではないでしょうか。
ログですが、
192.168.0.26の端末がDNSの解決できないのかな。
ISDNコネクタ(BRI 1)がトラブルとあります。原因はケーブル断線など通信障害が起こっていると思われます。
書込番号:18344773
0点
みなさまありがとうございます。
なるほどISDN回線のエラーであったのですね。
しかし通常インターネット使用には光回線を使用しています。
月に数回、どうしてもISDN回線を使用しなければならないので、その時だけ特定の端末からISDN回線を使用しております。
ログをみると、その端末以外の(通常インターネットを使用すると思われるIPアドレス)ところからこのようなエラーが大量にでていますので、通常でしたら、ちょっとありえない操作になりますね。
書込番号:18344800
0点
うーん、逆引きしてますね。なんだろうか。
とりあえずこの端末は隔離した方がいいかも。
詳しくはわからないですが、侵入されるとDNSに特徴的なパターンが出るらしいので。
書込番号:18345287
0点
このルーターですが、もしDNS周りの不正アクセスも含めた不定動作がかかると、ファームウェア更新だけではDNS機能におけるキャッシュポイズニングの脆弱性対応されません。
一つの方法・・「dns srcport 10000-19999」コマンド投入、DNSプロトコル番号53番の変異指定する。
二つ目・・DNSリカーシブサーバー機能を無効にする方法。「dns service off」→「dns notice order dhcp server」、「dns notice order msext server」
書込番号:18349475
0点
追加補足です。
「RT58i」ルーターで、30〜40台接続しているとの事ですが、このルーターの最大NATテーブル数として、4,096テーブルの仕様が有り、端末1台あたり平均200テーブル割り当てと計算(メーカー推奨)すると、4,096÷200=最大20台が限度の機器です。
その中で、同時に接続しNATテーブルを消費していくと、ルーター内蔵CPUとメモリ仕様にて、一部端末での通信劣化は、消費テーブルに依存します。
対応として、ルーターのNATセッションタイマーにて、未使用のNATテーブルが有る場合、@即時切断させるタイマー設定をしてみる、AルーターのNATテーブル数の多い機種へ変更してみる等の方法になるかと存じます。
以下参考まで・・NATテーブルタイマーの設定
「nat descriptor type 1 nat-masquerade」のNATエントリー設定の場合
「nat descriptor timer 1 600」→「nat descriptor timer 1 tcpfin 30」→「nat descriptor timer 1 protocol=udp port=domain 30」
※ type 1のエントリナンバーは、WANインターネット接続モードにより動的に任意設定されるルーターです。 PPPOEモードの場合・・ type 1000 、CATVモードの場合・・type 200 等。
NATテーブル数の多いルーター機種(Yamaha)
@ RTX810・・最大10,000(最大50台想定)
A FWX120・・最大30,000(最大150台想定)
B RTX1210・・最大65,534(最大327台想定)
※ http://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html
書込番号:18351527
0点
皆さま、ありがとうございます。
このRT58iも購入年が2006年と古かったものですから、バッファローの新しい家庭用クラスのルーターを購入しました。
それから以前と同じようにインターネット接続ができるようになりました。
sorio-2215さん、せっかくご教授いただいたのに申し訳ございません。
どうもお騒がせしました。
書込番号:18351851
1点
??Buffalo家庭用ルーターで大丈夫なんでしょうか?
家庭用ですと、とてもNATテーブル処理を多数考慮されている訳でも有りませんので、精々10台が限度です。
内蔵CPU・メモリも、とても30〜40台といった台数の制御を考えている訳でも有りませんので、なるべくSOHO向けにされた方が賢明な判断かと考えます。
同時に接続します端末数・負荷を考慮下さいね。
書込番号:18352198
0点
なるほど。忠告ありがとうございます。
インターネット接続30〜40台は可能ですが、使用頻度は少なく、調べ物をするかメールに利用する程度です。
とりあえずメールの利用に影響が出てましたので、取り急ぎ家電屋で買ってきたものでした。
しばらく様子を見て、購入を検討したいと思います。
書込番号:18352824
0点
クチコミ掲示板検索
新着ピックアップリスト
-
【Myコレクション】グラボだけのつもりが芋蔓式に総とっかえになっちゃった
-
【その他】BTOパソコンを自作するとどうなるか
-
【欲しいものリスト】冬ボーナスで買うもの
-
【欲しいものリスト】メインアップグレードv4.23
-
【欲しいものリスト】予算23万程度
価格.comマガジン
注目トピックス
(パソコン)
